20./21.02.2017 1
Digitale Strategie? – Eine Standortbestimmung
Dr. Harald von Bose
20./21.02.2017 2
Agenda
Digitale Agenda 2017 für Sachsen-Anhalt - Bestandsaufnahme
- Herausforderungen - Empfehlungen
Datenschutz-Grundverordnung (DS-GVO)
- Vereinbarkeit mit Big Data und Wirtschaft 4.0?
Fazit (Datenschatz mit Datenschutz!)
20./21.02.2017 3
Digitale Agenda 2017 - Bestandsaufnahme
• Rückblick (E-Government):
– Strategie Sachsen-Anhalt digital 2020 (2012) für E- Government
– E-Government-Gesetz des Bundes (2013)
– Digitale Agenda 2014 – 2017 der Bundesregierung und Programm Digitale Verwaltung 2020 und
Open-Data Aktionsplan (2014)
– IT-Planungsrat: …
20./21.02.2017 4
Digitale Agenda 2017 - Bestandsaufnahme
– Empfehlungen der LT-Enquete-Kommission (2015) – Zentraler IT-Landesdienstleister – Dataport
– Regionale Innovationsstrategie Sachsen-Anhalt 2014-2020
– EU-Strategie für den Digitalen Binnenmarkt
20./21.02.2017 5
Herausforderungen/Probleme
- Strukturelle Antworten auf inhaltliche Fragen - Mehrebenen (Bund-Länder-Kommunen)
- Prozessuale und kulturelle Hindernisse
- Regelungs- und Vollzugsdefizite (z. B. EGovG LSA und Infrastruktur, Anforderungen des ERV;
Transparenzgesetz)
- Digitalisierung als technische Herausforderung, nicht als politisches Thema
- Digitale Agenda als digitale Strategie?
- Sächsisches Modell – Vorbild für Sachsen-Anhalt?
20./21.02.2017 6
Lösungsansätze/Empfehlungen
• Strategie für Wirtschaft und Verwaltung
• Wirtschaft, Wissenschaft/Forschung, Verwaltung, Justiz (ERV), Gesellschaft - Digitalisierung
• Besonderheiten in Sachsen-Anhalt (KMU; Regionen)
• Strategie: Ziele – Handlungsfelder – Maßnahmen
• Ziele: Digitalisierung als Selbstzweck? Effizienz?
Wirtschaftswachstum/Wettbewerbsfähigkeit?
Gestaltung des digitalen Wandels? Digitaler Aufbruch?
• Konzentration auf prioritäre Maßnahmen (Grundvoraussetzung: Landesnetz ITN-XT u.
Breitbandausbau)
20./21.02.2017 7
Lösungsansätze/Empfehlungen
• Zentrale Steuerung mit „Digitalisierungsbeirat“
• Kompetenzzentrum Mittelstand 4.0 und
„Partnernetzwerk“ (auch für Handwerk) – zusätzlich regionale Kompetenzzentren?
Wissen – Projektbeispiele – Praxisanwendung!
• Querschnittsaufgabe Datenschutz und Datensicher- heit (z. B. Vertraulichkeit und Integrität)
• Querschnittsaufgabe Bildung in der digitalen Gesell- schaft (Infrastruktur i. V. m. informatische und
Medienbildung)
20./21.02.2017 8
Lösungsansätze/Empfehlungen
Moderne digitale Strategie:
• ganzheitlich
• nachhaltig
• verbindlich
• vernetzt
• datenschutzkonform Maximen des Staates:
Vertrauen – Verantwortung –
Verlässlichkeit/Widerspruchsfreiheit
20./21.02.2017 9
Moderne digitale Strategie beinhaltet modernen Datenschutz
Dieser soll im Bereich öffentlicher und nicht-öffentlicher Stellen gewährleistet werden durch die
• „ Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“
• Für Strafverfolgung und Gefahrenabwehr gilt die Richtlinie
(EU) 2016/680
20./21.02.2017 10
Warum die Datenschutzreform?
Derzeit gilt die Richtlinie 95/46 EG
Problematische Aspekte laut Europäischer Kommission (Mitteilung vom 04.11.2010) u. a. in den Bereichen:
–
Beherrschung der Auswirkungen neuer Technologien (1998 Google ; 2004 Facebook)
–
Binnenmarktdimension des Datenschutzes
–
Globalisierung und internationale Datentransfers
–institutioneller Rahmen zur Rechtsdurchsetzung
Big Data, Wirtschaft 4.0 waren 1995 noch nicht real
20./21.02.2017 11
Ziele der DS-GVO
• Harmonisierung, gleichmäßig hohes Datenschutzniveau
– ein einheitliches Datenschutzrecht für in der EU tätige Unternehmen (inkl. Marktortprinzip)
– kein „Forum-Shopping“ möglich (Datenverarbeitung in Mitgliedstaat mit geringstem Datenschutzniveau)
– „One-Stop-Shop“; konzentrierte Zuständigkeit der Aufsichtsbehörden (federführende Aufsichtsbehörde am Hauptsitz von Unternehmen) – EU-Kommissarin Jourova: Unternehmen sparen jährlich 2,3 Mrd. € – Stärkung des Binnenmarktes
• Modernisierung
Technologische Entwicklung / Globalisierung / Internet / Big Data
20./21.02.2017 12
Geltung der DS-GVO (1)
• 25. Mai 2016: DS-GVO in Kraft
• 25. Mai 2018: DS-GVO anzuwenden
–
Artikel 99: in allen Teilen verbindlich und unmittelbare Geltung in jedem Mitgliedstaat (anders als EU-Richtlinie)
–
99 Artikel und 173 Erwägungsgründe
–
bis dahin Fortgeltung jetziger Vorschriften und
Anpassungszeitraum, auch für bereits begonnene
Verarbeitungen
20./21.02.2017 13
Geltung der DS-GVO (2)
• Viele Regelungsspielräume zugunsten der Mitgliedstaaten
– teilweise zwingend umzusetzen (z. B. zu Zertifizierungen, Art. 42, 43) – oder nur Optionen enthalten (z. B. kann das Alter für die
Einwilligungsfähigkeit von 16 auf bis zu 13 Jahre herabgesetzt werden)
• Regelungsspielräume beschränken die Harmonisierung (Grund-Verordnung)!
• Regelungsspielräume sollen ausgefüllt werden durch:
1. Datenschutz-Anpassungs- und -Umsetzungsgesetz auf Bundesebene (DSAnpUG-EU, BR-Drs. 110/17)
2. Nachfolgegesetz zum DSG LSA
3. Anpassungen in zahlreichen Fachgesetzen auf Bundes- und Landesebene, die den speziellen Datenschutz regeln
• Zusätzlich zur DS-GVO gilt die E-Privacy-RL (zukünftig: VO)
20./21.02.2017 14
Prinzipien (1)
Grundsatz des Verbots mit Erlaubnisvorbehalt
• Art. 6 Abs. 1: Verarbeitung ist nur rechtmäßig, wenn eine Einwilligung vorliegt oder eine andere in der Vorschrift genannte Fallgruppe (z. B. Vertrag, öffentliches Interesse, Interessenabwägung) erfüllt ist. Ansonsten ist sie
verboten!
• Grundsatz gilt für einfache Datenverarbeitungen und komplexe Anwendungen wie bei Big Data oder
Wirtschaft 4.0
• Insoweit Grundrechtsgeltung auch zwischen Privaten
20./21.02.2017 15
Prinzipien (2)
Art. 5, 12 ff, 25, 32, 51 ff
• Erforderlichkeit, Angemessenheit, Datenminimierung
Beschränkung der Verarbeitung auf das erforderliche Maß,
jetzt ausdrücklich in DS-GVO: data protection by design/default
= Möglichkeit mit Technik datenminimierend umzugehen
• Zweckbindung
Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke;
Zweckänderung ohne Einwilligung nur, wenn diese mit Ursprungszweck vereinbar (Privilegierung für Forschungs- und Statistikzwecke, Art. 89);
BDSG-E: Weiterverarbeitung auch für staatl. oder öff. Sicherheit, Strafverfolgung und Rechtsverteidigung möglich
• Transparenz
Informationspflichten und Auskunfts-, Berichtigungs-, Löschungsrechte
• Datensicherheit
• Unabhängige Datenschutzaufsicht mit zusätzlichen Befugnissen
20./21.02.2017 16
Wann ist die DS-GVO bei Big Data und Wirtschaft 4.0 zu beachten?
• „Big Data“: große Datenmengen, die u.a. aus Bereichen wie Internet und Mobilfunk, Finanzindustrie, Energiewirtschaft, Gesundheitswesen und Verkehr und aus Quellen wie intelligenten Agenten, sozialen Medien, Kredit- und Kundenkarten, Smart-Metering-Systemen, Assistenzgeräten, Überwachungskameras sowie Flug- und Fahrzeugen stammen und die mit speziellen Lösungen gespeichert, verarbeitet und ausgewertet werden
.
• „Wirtschaft 4.0“: intelligente, internetgestützte Herstellung von Produkten mit branchenübergreifendem Datenaustausch
• Wann ist die DS-GVO bei Big Data und Wirtschaft 4.0 zu beachten?
Immer dann, wenn sich die Daten auf eine identifizierte oder identifizierbare Person beziehen – dies gilt auch, wenn der
Personenbezug erst durch Verknüpfung von Daten hergestellt wird.
20./21.02.2017 17
Können personenbezogene Daten zu Big Data-/
Wirtschaft 4.0- Zwecken verarbeitet werden?
(1)
Ja, wenn
• die betroffene Person freiwillig, informiert und unmissverständlich in die Anwendung eingewilligt hat (Art. 7, EG 32)
Problem: ggf. umfangreiche Erklärungen notwendig bei Vielzahl von
Zwecken, Zweck zum Zeitpunkt der Erhebung noch nicht bestimmt, nicht Einwilligende sind ausgeschlossen, derzeitige Praxis verwendet Daten auch ohne Einwilligung (z. B. WhatsApp)
• oder die Anwendung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Art. 6 Abs 1f)
Problem: Interessen der betroffenen Person können überwiegen (insbes.
bei Minderjährigen, Beschäftigten, Profiling, Veröffentlichung)
20./21.02.2017 18
Wirtschaft 4.0-Zwecken verarbeitet werden? (2)
• oder im Falle der Weiterverarbeitung deren Zweck mit dem ursprünglichen Zweck vereinbar ist (Art. 5 Abs. 1b, 6 Abs. 4)
Die Weiterverarbeitung im öff. Interesse liegender Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für
statistische Zwecke gilt nicht als unvereinbar mit dem ursprünglichen Zweck
Problem: Vereinbarkeit dürfte in der Praxis oft nur begrenzte Big Data- Anwendungen ermöglichen
und die Verarbeitung personenbezogener Daten für den Zweck erforderlich ist Problem: Verarbeitung muss auf das notwendige Maß beschränkt sein (Art. 5 Abs. 1c); reichen sachbezogene Daten? Wenn nicht, ist früh- zeitig zu anonymisieren bzw. pseudonymisieren
und die Voraussetzungen nachgewiesen und dokumentiert werden (Art. 5 Abs. 2) und die Betroffenenrechte gewährleistet werden (Art. 12 – 22)
20./21.02.2017 19
Weitere wichtige Regelungen:
Profiling
1. Profiling ist jede automatisierte Verarbeitung personenbezogener Daten, um bestimmte persönliche Aspekte einer natürlichen Person zu bewer- ten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel zu analysieren und vorher- zusagen (Art. 4 Nr. 4)
2. Das Zusammenführen von Daten und deren Analyse ist eine Form der Verarbeitung, die nur zulässig ist, wenn dazu entweder eine Einwilligung vorliegt oder die Voraussetzungen einer Erlaubnisvorschrift erfüllt sind.
3. Ist eine dieser Voraussetzungen erfüllt, kann das Zusammenführen von Daten und auch die Analyse automatisiert erfolgen.
Bsp.: „Scoring“, nach § 31 BDSG-E wissenschaftl. Verfahren erforderlich zur Berechnung eines Wahrscheinlichkeitswerts bzgl. zukünftigen
Verhaltens
20./21.02.2017 20
…und automatisierte Einzelentscheidung
„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling –
beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet ober sie in ähnlicher Weise erheblich
beeinträchtigt“ (Art. 22 Abs. 1) Ausnahmen (Art. 22 Abs. 2):
- wenn Entscheidung für den Abschluss eines Vertrages mit der betroffenen Person erforderlich ist,
- aufgrund Rechtsvorschrift zulässig
- mit ausdrücklicher Einwilligung der betroffenen Person
Ausnahmen gelten nicht für besondere Kategorien personenbezoge- ner Daten, sofern nicht eine besondere Einwilligung nach Art. 9 Abs.
2a oder eine besondere Erlaubnisvorschrift nach Art. 9 Abs. 2g vorliegt.
20./21.02.2017 21
Weitere wichtige Regelungen:
Privacy by Design & by Default
• Ziel: Gestaltung von Systemen + Diensten von Anfang an durch technischen Datenschutz und mit möglichst
datenschutzkonformen Voreinstellungen (Art. 25, EG 78)
• Inhalt: Pflicht zur Implementierung techn. und org. Maß- nahmen zur Umsetzung der DS-GVO, z. B. Datenminimierung, frühestmögliche Pseudonymisierung, Transparenz
• Maßstab: Stand der Technik, Implementierungskosten, mit der Verarbeitung verbundene Risiken (Senkung des Risikos bei Nutzung europäischer Dienstleister – „europäische Cloud“?), Zertifizierung möglich
• Zielgruppe: Verantwortlicher (auch Auftragsverarbeiter), indirekt aber auch Hersteller von IT-Systemen (Marktchance!)
• Verstoß ist bußgeldbewehrt!
20./21.02.2017 22
Datenschutz-Folgenabschätzung (1)
• Durchführung erforderlich, wenn Art, Umfang, Umstände und Zweck der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge haben (Art. 35 Abs. 1)
• insbesondere wenn systematische umfassende Bewertung
persönlicher Aspekte natürlicher Personen erfolgt, die sich
auf automatisierte Verarbeitung einschließlich Profiling
gründet und ihrerseits als Grundlage für Entscheidungen
dient, die Rechtswirkung gegenüber natürlichen Personen
entfalten oder diese in ähnlich erheblicher Weise
beeinträchtigen (Art. 35 Abs. 3a)
20./21.02.2017 23
Datenschutz-Folgenabschätzung (2)
• Weitere Verpflichtungen für den Verantwortlichen möglich
– Standpunkt der betroffenen Personen oder ihrer Vertreter zur beabsichtigten Verarbeitung einholen (Art. 35 Abs. 9)
– Überprüfung der tatsächlichen Verarbeitung gemäß der Datenschutz- Folgenabschätzung, insbesondere bei einer Änderung des Risikos durchführen (Art. 35 Abs. 11)
– Kommt die Datenschutz-Folgenabschätzung zu dem Ergebnis, dass bei der Datenverarbeitung ein hohes Risiko für Betroffene besteht, ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft (Art. 36 Abs. 1)
• Verstöße sind bußgeldbewehrt (Art. 83 Abs. 4 a))
20./21.02.2017 24
Fragen, die sich jetzt stellen
• Welche datenverarbeitenden Prozesse führt das Unternehmen durch (Verantwortlicher) bzw. lässt es durchführen (Auftragsverarbeiter)?
• Gibt es Wirtschaft 4.0-Geschäftsmodelle für das Unternehmen? Welche Risiken für die betroffenen Personen bestehen insbesondere beim
Zusammenführen von Daten und welche Schutzmaßnahmen folgen daraus?
• Welche personenbezogenen Daten sind zur Zweckerreichung wirklich erforderlich? Sind einzelne Prozesse der Verarbeitung überflüssig?
• Welche Prozesse/Verträge müssen angepasst werden?
• Wie müssen die Prozesse angepasst werden?
• Existieren ausreichend Ressourcen, die Aufgaben aus der DS-GVO,
insbesondere die umfangreichen Dokumentations- und Nachweispflichten zu erfüllen? (in finanzieller, technischer und personeller Hinsicht)
• Bedarf es der fachlichen Unterstützung von außen?
20./21.02.2017 25
Handlungsbedarf
• Datenschutzmanagement anpassen – besonders für Wirtschaft 4.0!
Datenschutz wird komplexer, komplizierter und strenger. Datenschutz schafft Vertrauen und
eröffnet Chancen im Wettbewerb.
Daher:
• Datenschutz bleibt Chefsache, auch in der Phase
der Anpassung an die DS-GVO und danach
20./21.02.2017 26
Grundrechte der Europäischen Union
Artikel 7 Algorithmen
(1) Jeder hat das Recht, nicht Objekt von automatisierten Entscheidungen von erheblicher Bedeutung für die Lebensführung zu sein. Sofern automatisierte Verfahren zu Beeinträchtigungen führen, besteht Anspruch auf Offenlegung, Überprüfung und Entscheidung durch einen Menschen. Die Kriterien automatisierter Entscheidungen sind offenzulegen.
(2) Insbesondere bei der Verarbeitung von Massen-Daten sind
Anonymisierung und Transparenz sicherzustellen.
20./21.02.2017 27
Vorschlag für eine Charta der Digitalen Grundrechte der Europäischen Union
Artikel 8
Künstliche Intelligenz
(1) Ethisch-normative Entscheidungen können nur von Menschen getroffen werden.
(2) Der Einsatz und die Entwicklung von künstlicher Intelligenz in grundrechtsrelevanten Bereichen muss gesellschaftlich begleitet und vom Gesetzgeber reguliert werden.
(3) Für die Handlungen selbstlernender Maschinen und die daraus resultierenden Folgen muss immer eine natürliche oder juristische Person verantwortlich sein.
(4) Bei Infrastrukturen, die für das Funktionieren der Gesellschaft essentiell sind, muss staatliche Kontrolle und Krisen-Vorsorge
gewährleistet sein.
20./21.02.2017 28
Fazit
• Big Data i.V.m. KI und Wirtschaft 4.0:
– Datenschatz statt Datenschutz? Neue
„Datensouveränität“?
– Maschine u. Algorithmen anstelle des Menschen?
– Datenschatz mit Datenschutz!:
• sachbezogene Informationen (Logistik) – aber:
Informationssicherheit beachten
• Eigentumsrecht an Daten? Ökonomisierung der
Daten?
20./21.02.2017 29
Fazit
• Verbindung von Recht und Technik in der Datenschutz-Folgenabschätzung
• Privacy by Design (Datenminimierung, Pseudonymisierung, Systemdatenschutz)
• KI (intelligente Privatsphäre-Assistenten)
• Anonymisierung – Problem: Re-Identifizierung
Einwand: Verbot der zwangsweisen Registrierung des Menschen in seiner ganzen Persönlichkeit auch mit- tels anonymer Daten und Verbot der Totalüberwach- ung (Menschenwürde und Freiheit der
Persönlichkeit)
20./21.02.2017 30
Vielen Dank für Ihre Aufmerksamkeit!
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Geschäftsstelle und Besucheradresse: Leiterstraße 9, 39104 Magdeburg Postadresse: Postfach 1947, 39009 Magdeburg
poststelle@lfd.sachsen-anhalt.de Telefon: 0391 81803-0
Telefax: 0391 81803-33